Seguridad Fisica COMO - La seguridad física del hardware (I)

La seguridad física del hardware es el último punto a estudiar por un consultor de seguridad física. En nuestro método de ir de lo global a lo específico llegamos ahora a la parte más específica del sistema, al propio hardware. Aquí la seguridad física se torna más ardua, puesto que los sistemas informáticos suelen estar cercanos al usuario final o al mismo administrador, por lo que están expuestos a un mayor peligro de mal uso o uso malintencionado. Puesto que aquí no podemos confiar plenamente en el cumplimiento de políticas o normativas de uso de las máquinas y como estas máquinas están más expuestas a intrusos ajenos al personal de la empresa que hayan superado los controles de acceso de niveles superiores debemos configurar estas máquinas y dispositivos de red de forma que sea lo más complicado posible el realizar manipulaciones sobre ellos, tanto a nivel físico como a nivel informático siempre que sea posible.

Es inevitable que el personal tenga acceso físico a las máquinas sobre las que deben trabajar, y en algunos casos incluso a los dispositivos de red. Cuando el usuario debe usar el hardware directamente, como usando disqueteras, CDROMs o similares la máquina que alberga estos dispositivos debe estar cercana al usuario. Lo mismo es aplicable para los servidores y dispositivos de red y los administradores de sistemas, para poder realizar su trabajo tienen que tener normalmente acceso físico a los dispositivos de red.

Teniendo en cuenta este factor debemos intentar mediante el estudio de la red y de las aplicaciones que han de correr los usuarios finales el mantener al menos los servidores y los dispositivos de red lejos del usuario final, en racks, armarios o centros de datos. Los usuarios podrán acceder a sus datos a través de la red local y mantener los datos importantes a salvo, aunque el hardware donde van a trabajar este desprotegido por estar en su puesto de trabajo. Los sistemas NAS y otros sistemas de almacenamiento de datos o servidores de aplicaciones pueden ayudar en esto.

Por tanto la idea es mantener al menos los datos y el trabajo del usuario fuera de la máquina donde el usuario va a trabajar. Deberemos instar al personal de administración para que organice el sistema de forma que los usuarios finales trabajen directamente sobre servidores de ficheros y servidores de aplicaciones, manteniendo así los datos a salvo de errores o manipulaciones del hardware. Bien estudiado este sistema puede suponer un ahorro adicional en hardware en las estaciones de trabajo del usuario final, que podrán ser menos complicadas en su constitución y más sencillas de administrar.

Sobre los racks y armarios ya hemos hablado bastante. Tengamos en cuenta todo lo que hemos comentado sobre su entorno, su localización y las consideraciones que debemos tomar para su adquisición y montaje. Además de todo esto debemos tener en cuenta que estos armarios y racks deben contener máquinas y dispositivos de red, y que esto implica otro nivel de seguridad física que debemos estudiar. En concreto deberemos estudiar que máquinas se incluyen en que racks y lo mismo para los dispositivos de red. Esto evitará que un supuesto intruso o usuario malintencionado que intente reconectar las máquinas o dispositivos del rack para realizar acciones no permitidas lo tenga más difícil. Si mantenemos en un rack los servidores de ficheros, en otro los de aplicaciones y en otro los dispositivos de red tendremos la seguridad de que un supuesto intruso no podrá trucar nuestra red para acceder con los permisos de unas máquinas a otras.

Hay que tener especial cuidado con los racks que contienen dispositivos de red, pues con la actual tendencia a construir VLANs por medio de concentradores que implementan este servicio podemos tener el peligro de que un usuario realice cambios en el cableado de red y tenga acceso a redes a las que no debería tener acceso. Es muy importante también el proteger en los concentradores los puertos donde se pueden conectar sniffers de red, pues proveen a un supuesto intruso de un arma imbatible para obtener datos de nuestra red. Lo mismo es aplicable a las conexiones serie que puedan tener estos dispositivos y que nos permitan la administración remota de los dispositivos, pues la seguridad del control de acceso en estos puertos no suele ser tan fuerte como cuando se accede mediante telnet o interface web.

Las cajas de las computadoras suelen ser un quebradero de cabeza para todo consultor de seguridad física, porque nos vienen impuestas por el hardware que se ha adquirido y es difícil el convencer a una empresa de que las cambie por otras más seguras.

La caja normal de una computadora no provee ningún tipo de seguridad contra un supuesto acceso a su interior por un intruso, todo lo contrario, cada vez se hacen más fáciles de abrir... Hay varias soluciones que se pueden aplicar para mejorar la seguridad de estos sistemas. La primera y más simple sería el sellado de la caja, que al menos nos alertará si algún intruso ha accedido a su interior. Deberá instruirse al personal de mantenimiento para que ponga y quite los sellos cuando tengan que realizar algún tipo de manipulación dentro de la caja. Otra solución es el taladrar y poner un candado o sistema similar en la caja que impida su apertura, aunque esto es difícil, puesto que lo que suele buscar un supuesto intruso son los datos contenidos en el disco duro, y para eso con abrir parcialmente la caja le basta. Se puede sellar con silicona los tornillos de la caja o todo el borde de la tapa para impedir su apertura, pero esto será un problema si tenemos que realizar cualquier tipo de mantenimiento dentro de la caja. Otra opción más radical todavía (pero no inverosímil) es la soldadura de la tapa de la caja con el armazón, esto asegurará la seguridad de la caja, pero si hay que realizar algún tipo de mantenimiento...

Otra opción es la adquisición de cajas más seguras. Varias compañías venden cajas que tienen cerraduras y sistemas de anclaje de la tapa con el armazón que proporcionan una seguridad considerable contra intrusos. Aquí el único punto débil es la cerradura, que deberá ser segura, como ya indicamos anteriormente. También se puede usar cajas de metacrilato fabricadas a medida para nuestros sistemas. Estas cajas se pueden obtener de varios fabricantes con cualquier tipo de características, sobre todo si encargamos la suficiente cantidad, y pueden estar protegidas mediante llaves contra su apertura. El metacrilato es muy resistente si es lo suficientemente grueso y permite dejar aperturas para el uso de CDROMs, disqueteras y similares. Es una opción engorrosa y difícil de mantener, por lo que se optará siempre que se pueda por cajas seguras antes que por sistemas hechos a medida.

Todas estas opciones son parches para el problema principal, que es el mantener datos importantes en una máquina expuesta al usuario final y a posibles intrusos. La opción correcta es mantener estos datos en lugar seguro (un servidor de archivos dentro de un armario o rack) y que el usuario trabaje de forma remota sobre estos datos, con lo que la seguridad física del ordenador del usuario final será poco importante.

La seguridad que proporcionan las passwords de bios es una seguridad absolutamente ficticia. Muchos administradores confían ciegamente en la seguridad de los sistemas asegurados mediante passwords de bios, sobre todo cuando se intenta impedir el arranque desde disquetera o desde CDROM. Esto es un grave error. La seguridad que proporciona el password de bios es mínima si no tenemos una seguridad física suficiente sobre el sistema en cuestión. Si un intruso consigue abrir la caja del ordenador puede simplemente activar el puente de borrado de la bios y nuestro password se borrará, o puede simplemente llevar un bios igual al del ordenador en cuestión y montarlo en el zócalo. Incluso se han dado casos de llegar a desoldar el bios de un ordenador y soldar el nuevo para saltar el password.

Por todas estas técnicas y por muchas otras que existen simplemente no debemos confiar en los password de bios. Si alguien tiene acceso al interior de nuestra máquina podrá hacer lo que quiera con ella. Puede borrar el bios, cambiarlo por otro, instalar una disquetera o un CDROM, una grabadora de CDs, cualquier cosa. La seguridad física de la caja por tanto es fundamental si queremos asegurar que la configuración de la máquina no va a ser cambiada.

No nos cansamos de decirlo. Si tiene datos importantes manténgalos alejados de las máquinas de usuario o de cualquier máquina a la que pueda tener acceso un intruso malintencionado. Es la única forma de mantener sus datos a salvo.

Habiendo comentado ya el problema que existe con la poca seguridad que proporciona el bios de los ordenadores el equipamiento hardware que implementemos en la máquina no va a proporcionarnos más seguridad. No vale que no instalemos disquetera ni CDROM ni grabadora de CDs, y que deshabilitemos en el bios la detección de estos. Si alguien tiene acceso físico al interior de la caja del ordenador siempre podrá cambiar el bios y luego instalar su propia disquetera, CDROM o grabadora de CDs, por no hablar del acceso directo al disco duro, que puede sacar, clonar con herramientas como Norton Ghost y luego volver a dejar en su sitio sin que nadie se de cuenta de que se ha replicado la información de la máquina.

Por lo tanto la ausencia de hardware en las máquinas no proporciona una seguridad mayor a las máquinas. Puede proporcionarla contra el intruso sin el tiempo suficiente para realizar cambios en el bios, pero si el intruso tiene suficiente tiempo podrá instalar su propio hardware y hacer lo que desee con nuestra máquina.

Hemos tratado ya el acceso al interior de las cajas de los ordenadores, que es un tema complicado. Más complicado aun es el acceso a los equipos de red, sistemas servidores de archivos, sistemas NAS, sistemas servidores de aplicaciones y similares. Estos equipos normalmente no son modificables, y suelen venir con cajas muy poco resistentes y poco preparadas para aguantar el maltrato al que un supuesto intruso podría someterlas. En la mayoría de los casos estos sistemas son de fácil apertura, pues suelen ser ampliables y se busca siempre una fácil ampliación, lo que es bueno para el personal de mantenimiento y administración, pero malo para nosotros como consultores de seguridad física.

La repercusión sobre la seguridad de la apertura de un NAS (Servidor de Almacenamiento) puede ser desastrosa. Todos los datos de trabajo de la empresa pueden quedar a disposición de un intruso. Muchos de estos sistemas tienen discos duros estándar, que pueden ser replicados con un portátil mediante Norton Ghost o similares y devueltos al sistema NAS sin que nadie detecte lo que ha ocurrido. Esta es la pesadilla de un administrador de seguridad, todos sus datos replicados sin haber dejado ninguna pista. Lo mismo es aplicable para otro tipo de servidores, y algo similar ocurre con los dispositivos de red, que pueden ser alterados una vez abiertos para cambiar la configuración, borrar las claves de acceso y muchas manipulaciones similares.

Insistimos. Lo único que nos salvará de este tipo de ataques de fuerza bruta (nunca mejor dicho) es el mantener este tipo de máquinas críticas protegidas en racks cerrados, en armarios bajo llave o en centros de datos con control de acceso. No hay más magia que esta, no busque soluciones esotéricas a problemas ya solucionados.

Al igual que insistimos en mantener los datos en lugar seguro lejos del usuario final o de un supuesto intruso no podemos dejar de insistir en la necesidad de redundancia o alta disponibilidad en los sistemas críticos y en las máquinas que proporcionen almacenamiento. Es fundamental poder acceder a los datos siempre que sea necesario, y la única forma de asegurar con un porcentaje aceptable de seguridad que nuestros datos estarán disponibles es proveer algún tipo de redundancia para estos datos.

Lo más aconsejable para este tipo de sistemas es la instalación de sistemas de alta disponibilidad, donde varias máquinas proporcionan la misma funcionalidad y se sincronizan permaneciendo siempre todas en el mismo estado. Si la máquina que está proporcionando el servicio falla otra de las máquinas del clúster ocupa su lugar y el sistema puede seguir funcionando. Normalmente el sistema avisa a los administradores de este tipo de eventos para que solucione el fallo en la primera máquina. Con un cluster de dos o tres máquinas proporcionando la misma funcionalidad podemos obtener tasas de fiabilidad muy altas, sobre todo cuando hablamos de integridad de datos. La replicación de los datos de un servidor de archivos principal en otros servidores de archivos secundarios (preferentemente alojados en otro edificio) es otra opción recomendable para proporcionar seguridad física en los sistemas de almacenamiento o en servidores de aplicaciones. La diferencia con los sistemas de alta disponibilidad es que estos sistemas no se sustituyen unos a otros automáticamente, solo mantienen una copia de los datos a buen recaudo en otro servidor por si es necesario acceder a ellas. Si puede instale un sistema de alta disponibilidad. Pero si su presupuesto no se lo permite programe copias de seguridad en servidores localizados lejos del servidor principal a través de la red para no perder nunca datos.

Siempre existe la posibilidad de que un intruso se apodere de uno de los sistemas y obtenga los datos de esa máquina, por lo que la seguridad física e informática de este tipo de máquinas es crítica.

Los sistemas de backup son una necesidad inexcusable hoy en día en cualquier empresa que maneje una cantidad de datos medianamente grande. Teniendo esto en cuenta y suponiendo que disponemos de un sistema de backup fiable debemos tener en cuenta otra serie de consideraciones.

La primera es la seguridad física de los backups, de la que ya hemos hablado, y para la que optábamos como mejor solución la que aconsejaba mantener los backups lejos de los sistemas que contienen los datos de los que hemos hecho backup.

La segunda es la seguridad física de las máquinas de backup, para las que deberemos tener las mismas medidas que para los servidores de archivos: Mantener más de una máquina de backups, sistema centralizado de backups alojado en un rack o armario seguro, monitorización de las máquinas de backup, etc.

Una cuestión a tener en cuenta con los sistemas de backup es la seguridad física de los medios donde se realizan los backups. Las cintas de backup pueden ser afectadas por los campos magnéticos fuertes, los discos ZIP también, los discos duros fallan y soportan mal los golpes y los movimientos bruscos y los CDs tienen una vida corta y son más bien delicados. Deberán tomarse las medidas necesarias para proteger físicamente los medios donde se realizan los backups, teniendo en cuenta las consideraciones propias para cada medio. Tradicionalmente los medios más seguros para hacer backups han sido las cintas de backup y cintas DAT, pero esto siempre puede cambiar.

De nada sirve hacer backups si cuando los necesitamos no funcionan. Debemos comprobar que los backups que hemos realizado pueden ser restaurados correctamente, o estaremos confiando en un sistema que no podemos asegurar que funciona correctamente.

Los sistemas UPS son imprescindibles en la seguridad física de un sistema informático. La mayoría de los sistemas operativos responden mal a las caídas repentinas y puede producirse perdida de datos importantes si no se usan sistemas de archivos con Journaling como Ext3, Reiserfs, XFS, JFS o similares.

Es complicado decir que es más conveniente, si mantener un gran UPS que alimente un grupo de máquinas, por ejemplo un rack o un armario con muchos dispositivos o si tener varios UPS que proporcionen alimentación a menos máquinas. El UPS puede convertirse en un punto del fallo del sistema, pues si falla todo el sistema se vendrá abajo. Los grandes UPS suelen ser más seguros, proporcionan mayor autonomía y protección, pero en el hipotético caso de que fallen nos dejan con todo el sistema caído. Los UPS más pequeños no tienen tantas características pero cumplen bien su cometido. El presupuesto también será un punto a tener en cuenta para la elección de una u otra opción, pues un gran UPS es bastante más caro que varios UPS pequeños.

Es importante ubicar los UPS dentro de los racks o armarios, donde no puedan ser desactivados por un supuesto intruso o por un fallo de un usuario o administrador.

Igual que aconsejamos la redundancia a nivel de máquinas para todo el sistema en general debemos aconsejar también la redundancia a nivel interno de hardware. Hoy existen ordenadores que incorporan dos fuentes de alimentación, varios discos duros montados en RAID, e incluso dos placas base. Los dispositivos de red también incorporan redundancia en una forma similar. Todo este tipo de funcionalidad es muy beneficiosa para la seguridad física del sistema en general, pues permite que parte del hardware falle sin que el sistema caiga. Debemos tener en cuenta que este tipo de sistemas son caros, y que a veces los sistemas de alta disponibilidad construidos con varias máquinas pueden ser igual de eficientes y más económicos que los sistemas redundantes a nivel de hardware.

El caso del RAID es diferente. Hoy por hoy cualquier servidor corporativo debería incorporar algún tipo de RAID, ya sea RAID 0, RAID 1 o RAID 5, sobre hardware o sobre software. Con el precio continuamente decreciente de los discos duros podemos permitirnos un sistema de RAID basado en software sobre un sistema IDE por un precio realmente bajo, y esto nos proporcionará redundancia en el hardware sin aumentar excesivamente el presupuesto.

La redundancia a nivel de red, incluida la conectividad a redes públicas como Internet o a redes corporativas privadas entre empresas debe ser hoy en día una de las mayores preocupaciones de un consultor de seguridad física. La mayoría de los tiempos muertos que se producen en el trabajo diario en la mayoría de las empresas se deben a fallos en la red o en la conectividad a Internet. Esto es especialmente crítico cuando hablamos de terminales de usuario final que permiten el trabajo remoto sobre servidores empresariales, como es el caso de los nuevos terminales implantados en bancos, sistemas de pago o facturación e incluso aplicaciones remotas tipo Citrix y similares.

Deberemos estudiar en primer lugar la conexión global a las redes públicas como Internet o en su caso si esta existe la conexión privada que entre distintos edificios o departamentos de la empresa existan. Para garantizar la conexión a Internet o una conexión privada sobre redes públicas no hay mejor consejo que la utilización de diferentes medios de conexión a la red mediante diferentes proveedores. El número de conexiones redundantes y el número de proveedores que deberemos contratar dependen enormemente del tiempo que podamos permitirnos tener la red sin conexión. Para asegurar una conexión normal en una empresa suele bastar la contratación de dos lineas independientes con dos proveedores diferentes, mediante ADSL/DSL, cable o lineas dedicadas. Deberemos estudiar al contratar el servicio la seguridad que nos ofrece la compañía en cuestión sobre la disponibilidad del servicio. En las lineas ADSL normales el contrato que se suscribe suele especificar que la compañía puede mantener sus lineas caídas durante un cierto espacio de tiempo sin que por ello tenga que indemnizar al usuario final por ello. Deberemos huir de este tipo de contratos, buscando contratos que aunque sean más caros nos aseguren una cierta disponibilidad de la conexión, o al menos que incluya indemnizaciones por cortes de conexión, lo que redundará en una mayor implicación del proveedor de conexión en asegurar la conectividad.

Es importante comprobar que las redes físicas sobre las que contratamos los proveedores sean diferentes, pues es bastante común que los proveedores de conectividad a Internet usen el mismo cableado de una compañía, sea esta pública o privada. En este caso tendremos un punto de fallo importante a tener en cuenta, pues si hay un problema en el cableado las dos lineas contratadas quedaran inutilizadas. En casos muy críticos puede ser incluso necesario la contratación de lineas privadas o enlaces propios de la empresa, como conexiones entre edificios mediante microondas. Los enlaces de microondas son una forma segura de comunicación entre edificios corporativos y son cada vez más usadas por las empresas, aunque debemos tener en cuenta que son caras, que necesitamos tener visibilidad entre las sedes que queremos comunicar y que necesitaremos gran cantidad de permisos para obtener la licencia de emisión. Una vez funcionando los enlaces de microondas pueden ser controlados por la misma empresa o por una empresa contratada y son fiables y resistentes a condiciones climáticas adversas o situaciones similares.

La idea general para proporcionar la conectividad a redes públicas o privadas dentro del edificio es mantener más de una opción de conectividad, de forma que si una falla tengamos otra u otras disponibles para mantener las conexiones. Siempre es posible mantener lineas privadas que suelen ser caras y complementar estas con lineas públicas como el ADSL/DSL/Cable para soportar el tráfico que pueda producirse si la linea principal cae. Existen sistemas de enrutadores que pueden utilizar todas las conexiones que tengamos disponibles al mismo tiempo, proporcionando un gran ancho de banda, pero que pueden seguir funcionando si alguna de las conexiones cae.

Para las redes departamentales y locales deberemos buscar también una cierta redundancia en la conexión con la red troncal de la empresa y por tanto con los enrutadores que proporcionan la conectividad con el exterior. Puede ser interesante mantener varias conexiones con varios concentradores en cada planta con la red troncal que permitan el fallo de uno de estos y mantengan las conexiones.

Es importante que la red local pueda funcionar siempre que sea posible independientemente de la conexión a la red troncal. Es difícil encontrar el punto medio donde los sistemas estén centralizados y comunicados por la red troncal y a la vez mantener una serie de servicios indispensables en la red local que puedan funcionar al menos durante espacios cortos de tiempo sin conexión con la red troncal. Esto tiene como hemos visto más arriba implicaciones en la seguridad física, pues cuanto más cerca del usuario final se encuentren los servidores de archivos o de aplicaciones más posibilidades existen de que estos sean manipulados o de que puedan fallar.

El sistema ideal por tanto permitiría el funcionamiento de las redes departamentales durante un periodo de tiempo razonable que permita fallos en la conectividad con la red troncal y con las redes exteriores y que a la vez tenga una seguridad física e informática importante. Puede ser necesario aconsejar la instalación de sistemas de almacenamiento de datos y servidores de aplicaciones que puedan funcionar en modo autónomo dentro de los departamentos y que luego repliquen esta información siempre que la red esté disponible con los servidores principales de la empresa. Lo mismo es aplicable a los sistemas de backups, que pueden realizarse a pequeña escala dentro de los departamentos y luego realizarse globalmente dentro de la empresa usando la red troncal. Los sistemas de archivos que pueden funcionar en modo desconectado, como Coda, Intermezzo o similares son muy útiles en estos casos, pues permitirán trabajar cuando la red está desconectada y replicarán automáticamente los datos cuando exista conexión con los servidores principales.